Les données relatives aux soins de santé font partie des dossiers les plus précieux pour les escrocs. Chaque dossier contient des informations de contact, des numéros de sécurité sociale et potentiellement des comptes financiers.
Un attaquant pourrait vendre ces informations sur le darknet ou les utiliser dans le cadre d’une usurpation d’identité pour différentes raisons.
Quelle que soit la motivation des pirates informatiques, ces dossiers sont une cible de choix pour eux, et les campagnes de phishing visent à faire des prestataires de soins de santé les prochaines victimes.
Des millions de dossiers médicaux volés par le phishing
Depuis la pandémie, de plus en plus de personnes se préoccupent de leur santé ; se rendent dans les hôpitaux pour les tests COVID et souhaitent se faire vacciner. Les hôpitaux ont été submergés de patients et d’employés fatigués, ce qui a entraîné une vulnérabilité supplémentaire due aux erreurs humaines.
Les campagnes de phishing tirent parti des erreurs humaines et de l’incapacité d’un employé à remarquer les signaux d’alarme. Pour eux, les employés fatigués sont de meilleures cibles, et ils sont conscients des nombreux problèmes rencontrés dans les hôpitaux pendant le COVID et les fermetures pour cause de pandémie.
En 2021, des millions de dossiers de patients ont été volés, principalement lors d’attaques de phishing. Le prestataire de soins de santé New York American Anesthesiology a été par exemple victime d’une campagne de phishing qui a touché plus de 1,3 million de patients.
Le ministère de la Santé et des Services sociaux a également été victime d’une attaque au cours de laquelle environ 9,4 millions de dossiers des patients ont été exposés à des escrocs.
Tout prestataire de soins de santé responsable d’une violation de données doit en informer les patients, conformément à la loi de 1996 sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA).
Le Department of Health and Human Services (ministère de la Santé et des Services sociaux) a mis en place une page web où les incidents peuvent être signalés, et les patients peuvent vérifier quand et où la violation s’est produite afin de savoir s’ils pourraient être la prochaine cible d’un vol d’identité.
Depuis le 1er janvier 2021, de nombreuses autres attaques par ransomware et de phishing ont été à l’origine de violations de données dans le secteur de la santé.
Comme les dossiers médicaux contiennent des informations personnellement identifiables, ils ont de la valeur sur le darknet. Tout patient qui pense que ses données ont été divulguées doit surveiller ses rapports de crédit et être à l’affût des courriels de phishing destinés à faire plus d’argent sur le dos de la victime.
Protéger le courrier électronique professionnel contre le phishing
Les campagnes de phishing peuvent être ciblées sur des individus avec des attaques à haut niveau de privilèges, ou elles peuvent être aléatoires lorsque des millions d’utilisateurs reçoivent le même email.
Les attaques non ciblées privilégient la quantité à la qualité. Les escrocs espèrent qu’un petit pourcentage de personnes se laissera prendre au message de phishing. Avec une seule campagne, et même avec un faible pourcentage de victimes, ils peuvent toutefois générer des milliers d’euros de revenus.
Les campagnes de spear-phishing sont beaucoup plus ciblées et efficaces. Les pirates choisissent d’envoyer moins de messages électroniques aux utilisateurs ciblés, mais la campagne peut être beaucoup plus puissante.
Avec un compte à haut niveau de privilège ou l’installation réussie d’un ransomware, un attaquant peut gagner des millions grâce à ses efforts.
Lors d’une attaque de ransomware qui cible les organisations, les pirates peuvent demander des milliers d’euros en échange de clés privées pour déchiffrer les données. Ils peuvent également utiliser les informations d’identification qu’ils ont volées pour exfiltrer des données des serveurs de l’organisation.
Ces deux types de campagnes de phishing nuisent à la réputation d’un établissement de soins et de santé ainsi qu’à la confidentialité des données de ses patients.
C’est pour cette raison que les prestataires de soins de santé et les autres organisations doivent prendre plusieurs mesures pour protéger les utilisateurs contre le phishing.
Les utilisateurs n’ont pas la formation nécessaire pour identifier les campagnes de phishing, mais même les administrateurs informatiques sont victimes de ces attaques.
La meilleure façon de protéger les utilisateurs est d’empêcher les messages malveillants d’atteindre les boîtes de réception des destinataires ciblés. Cela peut se faire à l’aide de filtres de messagerie.
La cybersécurité sur les serveurs de messagerie est la première défense contre le phishing. Les filtres de messagerie qui exploitent l’intelligence artificielle fonctionnent encore mieux pour détecter les messages malveillants et les mettre en quarantaine avant qu’ils n’atteignent la boîte de réception du destinataire ciblé.
Même si les emails sont mis en quarantaine, ils sont toujours accessibles aux administrateurs pour examen, mais ils sont inaccessibles aux utilisateurs standards qui pourraient ne pas se rendre compte qu’un message est malveillant.
Les pièces jointes sont souvent utilisées pour inciter les utilisateurs à installer des ransomwares sur le réseau de votre organisation.
Les ransomwares constituent une autre attaque dangereuse visant la confidentialité et l’intégrité des données. Les pirates l’utilisent souvent contre les prestataires de soins de santé, sachant qu’ils peuvent paralyser les flux de travail et la productivité de votre organisation.
Sachez que les systèmes de cybersécurité du courrier électronique peuvent détecter les pièces jointes qui pourraient contenir des macros utilisées pour télécharger des ransomwares et les installer sur les systèmes de votre organisation.
Une cybersécurité multicouche est essentielle pour protéger le secteur de la santé contre les menaces avancées telles que le phishing et les ransomwares.
Sans une approche de cybersécurité à plusieurs niveaux, d’autres prestataires de soins de santé pourraient être victimes de la prochaine grande violation de données.
En utilisant le bon filtre de courrier électronique et les filtres de contenu web, vous pouvez réduire les risques liés aux erreurs humaines et confier la détection des campagnes de phishing aux contrôles de cybersécurité.
Un filtre d’email détecte les messages, met en quarantaine les emails suspects. Il donne également plus de contrôle aux administrateurs pour les permettre de les examiner à la recherche de contenu malveillant. Si l’administrateur détermine que le message mis en quarantaine est un faux positif, il peut alors le transmettre au destinataire prévu.
Ces contrôles permettent de stopper de nombreuses campagnes de phishing et de réduire les risques que votre organisation devienne la prochaine victime d’une violation de données médicales.
TitanHQ offre une sécurité multicouche avancée pour protéger votre organisation contre les ransomwares, les attaques de phishing et les violations de données.
Contactez l’un de nos experts en cybersécurité dès aujourd’hui pour savoir comment nous pouvons protéger votre organisation.
Comme toute grande organisation, les universités et autres établissements d’enseignement supérieur sont exposés à des risques de violation de données et de menaces de malwares.
Du point de vue des cybercriminels, les écoles et les universités représentent une cible très attrayante. En fait, les données personnelles et financières stockées sur les systèmes de données universitaires sont précieuses pour les escrocs pour leur permettre de mener différentes sortes d’attaques cybercriminelles.
Pour les écoles, les conséquences d’un malware peuvent être énormes
Les conséquences d’un vol de données sont considérables pour les établissements scolaires. Elles peuvent nuire à leur réputation ; impliquer la non-conformité de l’organisation au regard des législations en vigueur et impacter l’économie et le fonctionnement de l’établissement en général.
Suite à une attaque réussie, les établissements scolaires peuvent perdre des opportunités de financement, les frais d’inscription des étudiants et des revenus associés. Outre la perte de données sensibles, des poursuites judiciaires et d’autres sanctions pourraient également survenir. Il peut même y avoir des dommages qui paralysent l’infrastructure et les activités de l’institution.
Les attaques de malwares et de ransomwares contre les établissements scolaires ne sont pas rares
Prenons l’exemple de l’attaque de malware qui visait une école du Minnesota. Elle a été si grave, au point que l’établissement a dû fermer ses portes pendant une journée. Les réparations complètes des dommages avaient pris des semaines, alors qu’ils auraient pu être évités.
Une attaque de crypto-ransomware a récemment chiffré le réseau du district scolaire du New Jersey. La source de l’infection n’est pas claire. Elle pourrait résulter de l’ouverture d’une pièce jointe d’un e-mail malveillant ou d’une application malveillante, ou simplement de la consultation d’un site web contenant des publicités malveillantes.
La nature du campus universitaire et de son réseau informatique constitue la véritable différence entre les établissements d’enseignement supérieur et les entreprises. Composée de nombreux réseaux dispersés, l’infrastructure réseau des universités est souvent complexe.
Il s’agit d’environnements où le concept de sécurité stricte des données est traditionnellement inutile, voire indésirable. Lorsqu’une institution prospère grâce au libre échange de données et d’idées, elle ne peut pas facilement appliquer les mêmes mesures de sécurité que les grandes entreprises.
Pour les cybercriminels, tout est dans le timing
Pour les cybercriminels qui ciblent un établissement scolaire, le timing est primordial. Lorsqu’une nouvelle année scolaire commence, les escrocs segmentent leurs bases de données d’emails pour lancer des attaques ciblées pour accueillir les étudiants et les employés des écoles qui sont de retour via Internet.
Chaque année, les escrocs lancent de nouvelles campagnes de spam et de phishing au moment où les étudiants et élèves retournent en classe. Les faux e-mails de bienvenue, les e-mails de réinitialisation de mot de passe et les notifications bancaires ne sont que quelques-uns des thèmes utilisés par les spammeurs à cette période de l’année.
Trouver un équilibre entre les besoins informatiques et les besoins des enseignants
L’Internet a offert aux professionnels du secteur de l’éducation de grandes possibilités, mais aussi de grands maux de tête. Les enseignants s’efforcent de trouver la meilleure façon d’aider les enfants à utiliser Internet à l’école tout en les protégeant des dangers en ligne.
Le blocage de contenus inappropriés ne doit pas nécessairement nuire à l’apprentissage. Alors que les élèves passent de plus en plus de temps connectés au web, assurez-vous que leurs activités en ligne soient sécurisées, et ce, grâce à l’utilisation d’un filtre de contenu web adapté comme WebTitan.
Grâce à l’analyse du contenu des pages, cette solution de protection de TitanHQ peut suivre l’évolution constante de l’utilisation du web et s’y adapter.
Pourquoi les établissements d’enseignement ont-ils besoin de filtrer les contenus en ligne ?
Il y a plusieurs raisons différentes pour lesquelles les établissements d’enseignement devraient bloquer certains contenus qui sont diffusés sur la toile, notamment :
La sécurité des étudiants (protection contre les sites dangereux, inappropriés ou illégaux) ;
La sécurisation du réseau ;
L’identification des éventuelles cyberintimidations ;
La conformité à la CIPA (loi relative à la régulation du contenu préjudiciable aux mineurs lorsqu’ils naviguent sur Internet) ;
L’application des politiques d’utilisation acceptable d’Internet ;
Le contrôle de la bande passante ;
La capacité de surveillance des activités en ligne des utilisateurs du web.
Il est de votre devoir, en tant que propriétaire ou responsable d’un établissement scolaire, de fournir un environnement d’apprentissage sûr. En outre, vous êtes légalement tenue de mettre en place des mesures raisonnables et efficaces pour contrôler l’accès à Internet.
Il devrait toujours exister un juste équilibre entre ce qui doit être autorisé et les mesures de sécurité qui peuvent être mises en place. En fait, la sécurité dans toutes les organisations, commerciales ou universitaires, devrait être un compromis entre la probabilité et l’impact potentiel d’une attaque et le coût financier ou la perte d’utilité qui sont encourus pour se défendre.
Si vous voulez découvrir la façon dont la suite de solutions de sécurité réseau granulaire de TitanHQ répond aux exigences flexibles du secteur de l’éducation, contactez-nous dès aujourd’hui.
Alors que l’actualité relative aux soins de santé en 2020 a été dominée par les titres concernant la pandémie du COVID-19, un autre sujet inquiétant est passé inaperçu pour beaucoup d’entre nous.
Selon le bureau des droits civils du ministère américain de la santé et des services sociaux, plus de fuites importantes de données médicales ont été signalées en 2020 qu’au cours des années précédentes.
Selon le rapport « 2020 Threat Landscape Report », la plus grande violation de données qui a impliqué la fuite de 22 milliards d’enregistrements de données personnelles en 2020 est imputable au secteur de la santé.
Par ailleurs, un article publié dans le journal HIPAA en janvier 2021 indique que nous ne parvenons pas à aplanir la courbe en matière de fuites de données :
Plus de 29 millions de dossiers médicaux ont été violés en 2020.
Les fuites de données liées aux soins de santé se sont produites à un taux de 1,76 par jour au cours de l’année.
Le nombre de fuites de données liées aux soins de santé a augmenté de 25 % d’une année sur l’autre.
642 fuites de données liées aux soins de santé de 500 enregistrements ou plus ont été signalées en 2020.
Une brèche concernait à elle seule plus de 10 millions d’enregistrements, tandis que 63 brèches ont porté sur plus de 100 000 enregistrements.
L’histoire cumulative n’est pas meilleure :
Le nombre de fuites de données de santé a doublé depuis 2014 et triplé depuis 2010.
Plus de 3 700 fuites de 500 enregistrements ou plus ont été signalées depuis octobre 2009, le nombre total d’enregistrements exposés s’élevant à plus de 64 millions d’euros.
La tendance est également à la hausse pour 2021. Au total, 56 fuites ont été signalées au cours des deux premiers mois de l’année seulement.
Causes des fuites de données
Les fuites de données résultent de trois facteurs principaux :
Les cyberattaques, le piratage et les incidents informatiques impliquant une activité malveillante qui est souvent attribuable aux mesures de sécurité informatique inappropriées.
La divulgation non autorisée des données dans laquelle des informations personnelles sur la santé sont partagées par des parties ou des systèmes internes.
La perte ou le vol des dispositifs d’extrémité.
La société de technologie de l’information Bitglass a déclaré que plus de 67 % de toutes les fuites de la sécurité des établissements de soins et de santé étaient le résultat de cyberattaques, de piratages et d’incidents informatiques et 22 % d’entre elles étaient attribuées à une divulgation non autorisée.
Quelques organisations ayant été victimes de fuites de données
Ce n’est pas seulement le nombre de fuites qui est alarmant, c’est aussi leur ampleur. Parmi les fuites les plus importantes de données de santé, on peut citer celle qui a été menée contre Dental Care Alliance.
L’attaque a été détectée le 11 octobre de l’année dernière, impliquant le vol de numéros de cartes de paiement de plus d’un million de patients. Les attaquants ont eu accès aux systèmes de données de Dental Care Alliance le 18 septembre, mais l’attaque n’a été corrigée que le 13 octobre.
Outre les informations relatives aux cartes de paiement, les escrocs ont pu voler les noms et les coordonnées des patients, ainsi que des informations médicales et des données d’assurance. Les patients ont été informés de l’attaque au début du mois de décembre et on estime que 10 % d’entre eux ont ensuite signalé une violation de leurs numéros de compte.
Une autre attaque à grande échelle a été signalée par le Florida Orthopedic Institute le 9 avril 2020, qui pourrait avoir compromis les informations de santé personnelles de plus de 640 000 patients. Il s’agissait d’une attaque de ransomware.
Si l’informatique interne a pu restaurer entièrement les données chiffrées par les pirates, une enquête a montré que les données ont potentiellement été exfiltrées juste avant leur chiffrement.
Celles-ci comprenaient des noms de patients, des dates de naissance, des numéros de sécurité sociale et des informations médicales sensibles. Un recours collectif a ensuite été intenté à l’encontre du Florida Orthopedic Institute.
L’année dernière a également montré que les informations personnelles des patients peuvent encore être compromises grâce à des méthodes de piratage à l’ancienne.
Le vol d’un seul ordinateur portable appartenant à un fournisseur de services de transport utilisé par une société de l’Oregon appelée Health Share aurait pu causer la compromission des informations d’environ 654 000 patients.
Au moment de la publication du rapport, on ignorait si les données étaient chiffrées ou non. Les données potentiellement compromises comprenaient les numéros d’identification Medicaid ainsi que les noms, les coordonnées et les antécédents médicaux des patients concernés.
Pourquoi les cyberattaques sont-elles en hausse dans le secteur de la santé ?
De nombreuses raisons expliquent l’augmentation du nombre d’attaques cybercriminelles au cours des 14 derniers mois.
Comme dans de nombreux autres secteurs, la transition spectaculaire vers la mise en œuvre du travail à distance et la distraction des dirigeants des organisations de soins de santé — résultant de la peur du COVID-19 et du besoin d’informations concernant la pandémie — y ont largement contribué.
Alors que les numéros de carte de crédit ne rapportent que quelques euros chacun, les informations sur les patients peuvent rapporter plus de 124 euros par dossier. Malheureusement, l’année dernière, un dossier compromis coûtait environ 410 euros à l’organisation victime d’une attaque, soit une augmentation de 16 % par rapport à l’année précédente.
Pour toutes ces raisons, les organismes de santé ont donc l’obligation de protéger les données de leurs patients contre d’éventuelles fuites de données.
TitanHQ peut les aider en leur proposant une solution pour empêcher les cybercriminels d’accéder à leurs données sensibles. Contactez TitanHQ dès aujourd’hui et découvrez comment nos solutions primées protégeront votre organisation et vos patients.
Alors que nous devenons de plus en plus dépendants des applications web, il n’est pas surprenant que les applications soient exposées à un risque important de vulnérabilités informatiques.
De nos jours, les entreprises utilisent différentes sortes applications pour effectuer presque toutes les tâches nécessaires à leur bon fonctionnement. En fait, la prolifération des applications est l’évolution naturelle de la transformation numérique, et nos opérations commerciales essentielles ainsi que nos routines de travail quotidiennes en seront de plus en plus dépendantes.
Une étude récente de WhiteHat Security montre qu’au moins 50 % des applications utilisées par les secteurs industriels les plus populaires contiennent une ou plusieurs vulnérabilités informatiques. Ces secteurs comprennent l’industrie manufacturière, les services publics, la santé, le commerce de détail, l’éducation et les services publics, pour n’en citer que quelques-uns.
Le secteur de la fabrication présente le niveau d’exposition le plus élevé, avec près de 70 % des applications présentant au moins une vulnérabilité exploitable.
Si ce constat est très préoccupant pour les professionnels de la cybersécurité, il fait le bonheur des pirates et des cybercriminels qui sont constamment à la recherche d’une faille dans les systèmes de défense informatique des entreprises d’aujourd’hui dont ils pourraient tirer parti.
Selon ledit rapport, les cinq principales classes de vulnérabilités enregistrées au cours du quatrième trimestre de 2020 comprennent la fuite d’informations, l’expiration insuffisante de la session, le cross site scripting, la protection insuffisante de la couche de transport et l’usurpation de contenu.
Les chercheurs à l’origine du rapport ont déclaré que – pour découvrir, exploiter et tirer pleinement parti de ces vulnérabilités, il n’est pas nécessaire de suivre une formation spécialisée.
Le récent rapport State of Software Security de Veracode a révélé que 76 % de toutes les applications présentent au moins une vulnérabilité. Toutefois, il indique également que seuls 24 % des logiciels contiennent une vulnérabilité de haute gravité.
Les dommages résultant de l’exploitation d’une vulnérabilité peuvent être coûteux
L’abondance de vulnérabilités informatiques a des conséquences financières pour de nombreuses entreprises. Selon la compagnie d’assurance anglaise Hiscox, les entreprises ont subi des cyberpertes de 1,5 milliard d’euros, soit six fois plus qu’au cours des 12 mois précédents.
Le fournisseur d’assurance précise que les entreprises d’Angleterre ont 15 fois plus de chances de subir une cyberattaque qu’un incendie ou un vol.
Les vulnérabilités des applications coûtent de l’argent aux entreprises sur plusieurs fronts. Il y a évidemment le coût résultant de l’utilisation de ces vulnérabilités lors d’une cyberattaque.
Mais il y a aussi le coût réel de la correction de ces vulnérabilités, y compris le coût de la détection et le coût de la réparation des dégâts, étant donné que le coût horaire de travail d’un développeur est généralement élevé.
Pourquoi les applications web sont-elles si vulnérables ?
L’une des principales raisons de l’existence d’un si grand nombre de vulnérabilités informatiques est la multiplicité des applications. Chaque application est différente et utilise des systèmes de codage différents. Cela fait de chaque application une surface d’attaque unique.
Le temps nécessaire pour corriger ces vulnérabilités est un autre facteur contributif. Le délai moyen est de 189 jours, tous secteurs confondus. Mais cela suppose que la vulnérabilité soit effectivement corrigée. Selon le 2020 Mid-Year Attack Trends Report de Check Point, 80 % des attaques utilisent des vulnérabilités signalées il y a trois ans ou plus.
En d’autres termes, la majorité des attaques soutenues en 2020 ont été rendues possibles par des vulnérabilités informatiques signalées en 2017. En outre, le rapport a montré qu’une attaque sur cinq utilisait des vulnérabilités vieilles d’au moins sept ans.
Selon Paloalto, 80 % des kits d’exploitation publics sont développés et diffusés avant qu’une alerte CVE (Common Vulnerabilities and Exposures) puisse être publiée. Ils ont constaté qu’un kit d’exploitation public standard est connu 23 jours avant la publication de la CVE correspondante. Au cours des 22 dernières années, cette moyenne a atteint 40 jours.
La nouvelle se répand rapidement au sein de la communauté cybercriminelle, et des gens peu scrupuleux sont prompts à frapper dans ces portes d’opportunité. Il ne fait aucun doute que nous devons réduire l’écart entre la découverte des vulnérabilités et la publication des CVE.
Sans oublier, bien sûr, l’existence des vulnérabilités de type « zero-day ». Une étude a montré que 66 % des détections de malwares au cours du deuxième trimestre de 2020 impliquaient l’exploitation de vulnérabilités de type « zero-day ».
Ne blâmez pas seulement les éditeurs de logiciels
Si le rapport de Check Point semble très préjudiciable aux éditeurs de logiciels, ils ne sont pas les seuls à blâmer. Une grande raison pour laquelle les attaquants continuent d’exploiter d’anciennes vulnérabilités est que les entreprises continuent d’utiliser des systèmes d’exploitation et des logiciels obsolètes.
Selon une enquête de Spiceworks datant de 2019, 32 % des entreprises utilisaient encore des systèmes Windows XP à l’époque. En décembre dernier, on estime que 8,5 % des ordinateurs Windows fonctionnent sous Windows 7.
Une fois qu’un système d’exploitation ou une application est déprécié, il n’est plus pris en charge et le fournisseur cesse de fournir de nouveaux correctifs.
Et même si les éditeurs de logiciels publient de nouveaux correctifs, il n’est pas rare que les entreprises ne les appliquent pas. Selon l’Agence américaine pour la cybernétique, l’absence de correctifs pour les vulnérabilités, dont beaucoup datent de plus d’un an, expose les organisations à un risque de compromission beaucoup plus élevé.
L’agence indique que l’une des dix vulnérabilités les plus couramment exploitées a été divulguée pour la première fois en 2012.
Les experts en cybersécurité insistent constamment sur la nécessité de maintenir tous les systèmes et logiciels à jour. Bien que cela puisse sembler être un disque rayé, il y a une raison pour laquelle ils répètent constamment ce message : c’est parce que cela fonctionne !
TitanHQ est un fournisseur de cybersécurité récompensé à plusieurs reprises. Apprenez-en davantage sur TitanHQ et sur la manière dont nous pouvons protéger votre entreprise grâce à la sécurité des emails, au filtrage DNS et à l’archivage des emails pour la conformité.
Bien que la plupart des organisations mettent en place la meilleure formation et solution de sécurité pour protéger les informations d’identification des utilisateurs contre le vol, les attaquants ont toujours de nombreux moyens de compromettre un réseau et de voler des données.
On ne sait pas encore comment les attaquants ont pu dérober plus de 3,2 millions d’enregistrements de données des clients de DriveSure, mais il semble que les informations volées provenaient de la base de données MySQL de l’entreprise.
Résultat : les informations d’identification du site ainsi que plusieurs points de données privées ont été exposés publiquement sur Internet.
Qu’est-il arrivé à DriveSure ?
DriveSure est un site de formation utilisé pour aider les concessionnaires automobiles à vendre et à conserver leurs clients. Il compte des millions de clients qui s’inscrivent pour recevoir des formations et des cours.
Pour ce faire, ces derniers doivent fournir leur nom complet, leur adresse, leur numéro de téléphone, leur adresse électronique, le numéro d’immatriculation et le carnet d’entretien de leur véhicule, leurs déclarations de sinistre, entre autres.
Les données publiées comprenaient des comptes de grandes entreprises et des adresses des autorités militaires
Plus tôt dans l’année, des chercheurs ont remarqué que des informations concernant les clients de DriveSure avaient été téléchargées sur plusieurs forums de piratage. La plupart des attaquants ont volé des données pour les revendre ensuite avec profit. Cependant, l’argent qui aurait pu être généré ne semblait pas être leur principal objectif.
Les pirates ont lentement mis à jour l’ensemble de la base de données des données volées, gratuitement et sans demander de l’argent
Le motif de des pirates n’ayant pas encore été connu, les données ont été déjà proposées gratuitement sur de nombreux forums de piratage. Elles étaient ainsi librement accessibles à toute personne qui était en mesure de trouver les fichiers en ligne.
Au fur et à mesure que de plus en plus de personnes téléchargeaient les fichiers, les données devenaient disponibles pour davantage de personnes sur d’autres sites. Tout utilisateur qui s’est inscrit sur le site DriveSure doit donc changer son mot de passe sur le site.
Quelles sont les données clients de DriveSure ayant été exposées publiquement ?
Outre les données privées sensibles disponibles, le cyber-attaquant de DriveSure a également mis à disposition pour téléchargement plus de 93 000 mots de passe hachés par bcrypt.
Dans une application sécurisée, le développeur stocke un mot de passe sous forme de valeur hachée avec un sel pour le rendre plus difficile à craquer.
En cryptographie, un sel est une donnée aléatoire utilisée comme entrée supplémentaire dans une fonction de hachage à sens unique d’un mot de passe ou d’une phrase de passe, tandis que bcrypt est une fonction standard pour le hachage de mots de passe.
Qu’est ce que le hachage ?
Pour faire simple, une fonction de hachage est destinée à prendre le texte d’un mot de passe pour ensuite le « mouliner » afin d’obtenir une signature (également appelée empreinte).
Lorsqu’un utilisateur entre un mot de passe, l’ordinateur ne va pas envoyer celui-ci au serveur ni l’enregistrer, mais plutôt sa signature. Lorsque l’utilisateur se connectera, au lieu de vérifier si le mot de passe est identique, le serveur va donc vérifier que la signature du mot de passe entrée est bien la même que celle du mot de passe enregistré.
DriveSure utilise une méthode cryptographique sécurisée pour stocker les mots de passe
Cependant, même si un mot de passe est sécurisé par cryptographie, d’autres, qui ont été téléchargés, peuvent encore être forcés par force brute pendant une longue période si rien n’est mis en place pour limiter le nombre de tentatives.
Par ailleurs, les mots de passe de mauvaise qualité peuvent être forcés par force brute même s’ils sont stockés sous forme de hachage sécurisé par cryptographie.
Le problème avec la disponibilité de mots de passe hachés est qu’un attaquant peut passer des jours à exécuter des scripts contre chacun d’entre eux. Tout mot de passe faible peut être forcé par brute, et de nombreux utilisateurs configurent le même mot de passe sur plusieurs sites.
Puisque les adresses email sont également disponibles, un attaquant pourra utiliser des scripts pour prendre le contrôle de comptes sur plusieurs sites en utilisant les mêmes mots de passe obtenus sur le site DriveSure. Cela permet à un pirate d’accéder à tout compte utilisant le même mot de passe sur plusieurs sites, y compris celui de DriveSure.
Les données provenaient d’une base de données MySQL piratée, de sorte que toute information collectée à partir de DriveSure serait vulnérable à l’exposition. Pour pallier ce problème, l’entreprise a décidé de chiffrer les données qui devraient être conformes aux normes de conformité, mais la plupart des données étaient encore disponibles en texte brut.
Que pouvez-vous faire si vous avez utilisé DriveSure ?
Comme DriveSure ciblait les entreprises en tant que clients, les chercheurs ont trouvé de nombreux comptes de messagerie professionnelle inclus dans la base de données.
Si votre entreprise a utilisé DriveSure pour former vos employés, toutes les informations relatives aux comptes d’utilisateurs fournies au site sont peut-être incluses dans sa base de données en ligne et sont probablement mise en ligne sur divers forums de piratage.
La meilleure défense contre les attaques cybercriminels consiste à changer immédiatement les mots de passe, même s’ils étaient sécurisés par cryptographie et comportaient plusieurs caractères. Tout employé ayant le même mot de passe sur DriveSure et sur le réseau de votre entreprise fait courir à cette dernière le risque d’une violation de données.
Il n’est pas rare que les attaquants utilisent des données trouvées sur Internet pour lancer des attaques de phishing. Ils peuvent envoyer directement un email malveillant aux utilisateurs qui figurent sur la liste ou utiliser les adresses électroniques pour lancer d’autres attaques sur d’autres employés.
Si un pirate peut accéder au compte de messagerie de l’utilisateur par le biais d’une usurpation d’identité, il peut alors envoyer un email à d’autres employés en incitant ces derniers à divulguer des informations sensibles.
Les filtres de messagerie empêcheront les attaques par usurpation d’identité, de sorte que la base de données divulguée ne pourra pas être utilisée contre votre organisation dans une attaque par phishing. Vous pouvez également former les utilisateurs à la détection des attaques de phishing afin qu’ils n’en soient pas victimes.
Outre l’utilisation de filtres de messagerie, tout utilisateur trouvé dans la base de données doit immédiatement changer son mot de passe. Enfin, il faut apprendre aux utilisateurs à ne pas utiliser le même mot de passe pour plusieurs comptes afin d’éviter tout problème à l’avenir.
Sachez que vous pouvez améliorer la protection des données de vos clients avec la protection multicouche de TitanHQ. Si vous voulez découvrir comment nous pouvons protéger votre organisation contre les violations de données, contactez un membre de notre équipe dès aujourd’hui.
Le site web de réservation d’hôtel en ligne Hotels.com, basé au Texas, a informé ses clients que certaines de leurs informations sensibles ont été exposées.
La violation de données du site Hotels.com a impliqué la divulgation de noms d’utilisateur et de mots de passe, d’adresses email et des quatre derniers chiffres des numéros de carte de crédit des utilisateurs du site.
Plusieurs clients du site Hotels.com ont été piratés
Les comptes d’utilisateurs ont été piratés entre le 22 et le 29 mai, mais jusqu’alors, on ne sait pas exactement combien de personnes ont été touchées.
Bien que les numéros de carte de crédit complets n’aient pas été obtenus, la violation des données du site Hotels.com exposera les utilisateurs à un risque élevé d’attaques de phishing.
Il est courant pour les utilisateurs qui ont subi une atteinte à la protection des données ou un incident de sécurité de recevoir des emails d’avertissement concernant l’attaque de phishing.
Cependant, les emails de phishing peuvent prendre de nombreuses formes.
D’une manière générale, ces emails prétendent à juste titre que les renseignements sensibles d’un utilisateur ont été compromis, mais ils ne proviennent pas de l’entreprise qui a subi l’atteinte.
Ce sont plutôt les cybercriminels qui ont mené l’attaque, ou les individus qui ont acheté des données volées aux attaquants, qui les envoient.
Dans un scénario typique de phishing, les victimes sont informées que leur nom d’utilisateur et leur mot de passe ont été compromis.
Un lien est inclus dans les emails pour permettre à l’utilisateur de réinitialiser son mot de passe ou d’activer des contrôles de sécurité supplémentaires sur son compte.
Ce lien dirigera l’utilisateur vers un site web de phishing où il obtiendra de plus amples renseignements — les chiffres manquants de son numéro de carte de crédit par exemple — ou d’autres renseignements personnels.
Le lien peut également diriger l’utilisateur vers un site web malveillant contenant un kit d’exploitation qui télécharge un malware sur son ordinateur.
Les clients d’Hotels.com ont été ciblés par une campagne de phishing en 2015 qui a amené de nombreux utilisateurs du site à divulguer des informations telles que leurs noms, numéros de téléphone, adresses email et les détails de leurs voyages.
Ces informations pourraient être utilisées dans d’autres escroqueries ou même pour des vols qualifiés, par exemple, lorsque les victimes sont connues pour être en vacances.
La violation des données du site Hotels.com est la dernière d’une série d’attaques contre des entreprises en ligne.
Bien qu’on ne sache pas encore clairement comment l’accès aux comptes des clients a été obtenu, une lettre envoyée par email aux victimes laisse entendre que les attaques pourraient être liées à des violations sur d’autres sites web.
Utilisez des mots de passes forts et uniques pour contrer les attaques de phishing
La lettre laisse entendre que l’accès aux comptes en ligne aurait pu résulter de la réutilisation de mot de passe.
Réutiliser les mots de passe sur plusieurs plateformes en ligne est une mauvaise idée.
Bien qu’il soit plus facile de se souvenir d’un seul mot de passe, une violation sur n’importe quel site web en ligne signifie que les attaquants seront en mesure d’accéder à des comptes sur plusieurs sites.
Pour éviter cela, des mots de passe forts et uniques devraient être utilisés pour chaque compte en ligne. Bien que ces mots de passe puissent être difficiles à mémoriser, un gestionnaire de mots de passe peut être utilisé pour les stocker.
De nombreux gestionnaires de mots de passe aident également les utilisateurs à générer des mots de passe forts et uniques.
Dans la mesure du possible, les utilisateurs devraient également tirer parti des contrôles d’authentification à deux facteurs sur les sites pour améliorer la sécurité de leurs comptes.
Étant donné que de nombreuses entreprises utilisent des sites web de réservation d’hôtels comme Hotels.com, elles devraient être particulièrement vigilantes en ce qui concerne les emails de phishing au cours des prochaines semaines, notamment ceux liés à hotels.com.
SpamTitan : la solution contres les attaques de phishing
Pour vous protéger contre les attaques de phishing, nous vous recommandons d’utiliser SpamTitan.
SpamTitan bloque plus de 99,9 % des emails de phishing et autres spams, réduisant ainsi le risque que ces messages soient transmis aux utilisateurs finaux.
En plus de la formation de sensibilisation à la sécurité et des exercices de simulation de phishing, les entreprises peuvent se défendre avec succès contre les attaques de phishing grâce à SpamTitan.
